Vai al contenuto principale

Cos'è Cloud RADIUS? Una Guida Completa a RADIUS-as-a-Service

Questa guida completa esplora Cloud RADIUS (RADIUS-as-a-Service), descrivendone in dettaglio l'architettura, i metodi EAP e le strategie di implementazione. Offre ai leader IT approfondimenti pratici sulla migrazione dai server on-premises a un modello di autenticazione basato su cloud scalabile, sicuro e conforme.

📖 5 minuti di lettura📝 1,077 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Che cos'è Cloud RADIUS? Una guida completa a RADIUS-as-a-Service. Benvenuti al podcast Purple WiFi Intelligence. Sono il vostro ospite e oggi faremo un approfondimento dettagliato su Cloud RADIUS: cos'è, come funziona dietro le quinte e, soprattutto, come valutare se è la mossa giusta per la vostra organizzazione in questo trimestre. Che gestiate un gruppo alberghiero, una rete di punti vendita, uno stadio o una rete del settore pubblico, questo episodio fa al caso vostro. Inquadriamo la situazione. Introduzione e contesto. Se avete mai dovuto spiegare a un consiglio di amministrazione perché il vostro server di autenticazione di rete è andato in crash alle 2 del mattino - e perché ci sono volute tre ore per ripristinarlo - avete già capito il problema fondamentale che Cloud RADIUS risolve. L'infrastruttura RADIUS on-premises tradizionale è potente, ma comporta costi operativi significativi. Hardware da acquistare, cicli di patch da gestire, ridondanza da progettare manualmente e un unico punto di vulnerabilità situato nella sala server. Cloud RADIUS, o RADIUS-as-a-Service, sposta questo livello di autenticazione in un ambiente cloud gestito e ad alta disponibilità. Il protocollo in sé - Remote Authentication Dial-In User Service - non è cambiato. È ancora la spina dorsale del controllo dell'accesso alla rete IEEE 802.1X, ancora il meccanismo utilizzato dai vostri access point per convalidare chi entra nella vostra rete. Ma l'infrastruttura che lo esegue è ora un problema di qualcun altro. E nell'IT aziendale, questo rappresenta un cambiamento significativo. Entriamo quindi nei dettagli tecnici. Approfondimento tecnico. Il protocollo RADIUS è stato originariamente definito nella RFC 2865, pubblicata nel 2000, ed è rimasto straordinariamente solido. Il protocollo opera su un modello client-server. Il dispositivo di accesso alla rete - che si tratti di un access point WiFi, di un concentratore VPN o di uno switch cablato - funge da client RADIUS, chiamato anche Network Access Server o NAS. Quando un utente tenta di connettersi, il NAS inoltra un pacchetto di Access-Request al server RADIUS, che convalida le credenziali rispetto a una directory utenti - in genere Active Directory, LDAP o un provider di identità cloud - e restituisce un Access-Accept o un Access-Reject. Questo è lo scambio principale. Ma la vera complessità risiede in ciò che accade intorno ad esso: metodi EAP, assegnazione VLAN, applicazione delle policy, record di contabilità e gestione dei certificati. In un'installazione tradizionale on-premises, si esegue FreeRADIUS o Microsoft NPS su hardware dedicato, gestendo i propri certificati, configurando il proprio failover e mantenendo la sincronizzazione del proprio database utenti. Per una distribuzione su un singolo sito con un team IT competente, questo è gestibile. Per una rete retail di 50 punti vendita o un gruppo alberghiero con strutture in più paesi, diventa un onere operativo significativo. Cloud RADIUS astra tutto questo. La logica di autenticazione, l'infrastruttura dei certificati, la ridondanza e il motore dei criteri vengono forniti come servizio gestito. I tuoi access point puntano a endpoint RADIUS ospitati nel cloud - in genere un indirizzo IP primario e uno secondario - e il servizio gestisce tutto ciò che sta dietro. Ora parliamo dei metodi di autenticazione, perché è qui che le decisioni tecniche contano davvero. Il metodo EAP più comune nel WiFi aziendale è PEAP - Protected EAP - che incapsula MSCHAPv2 all'interno di una sessione TLS. È ampiamente supportato, funziona nativamente con Active Directory ed è il valore predefinito per la maggior parte dei dispositivi Windows e Android. Tuttavia, PEAP presenta vulnerabilità note, in particolare per quanto riguarda la convalida dei certificati. Se i tuoi dispositivi client non sono configurati per verificare il certificato del server, sei esposto ad attacchi di raccolta di credenziali tramite access point non autorizzati. EAP-TLS è lo standard di riferimento. Utilizza l'autenticazione reciproca dei certificati - sia il server che il client presentano i certificati - eliminando completamente la superficie di attacco delle password. Il compromesso è la distribuzione dei certificati client, che richiede un'infrastruttura PKI e l'integrazione MDM. Per le flotte di dispositivi gestiti, questa è in assoluto la scelta corretta. Per gli ambienti BYOD, è più complesso. Vale la pena conoscere anche EAP-TTLS ed EAP-FAST. TTLS è particolarmente comune in ambienti in cui è necessario supportare un'ampia gamma di dispositivi client, inclusi i sistemi Linux. EAP-FAST è stato sviluppato da Cisco come alternativa a PEAP che evita la dipendenza dalla convalida dei certificati, utilizzando invece Protected Access Credentials. Un servizio Cloud RADIUS ben strutturato supporta tutti questi metodi e consente di configurare criteri per ciascun SSID - in modo che il tuo SSID aziendale utilizzi EAP-TLS con convalida del certificato, l'SSID del personale utilizzi PEAP con Active Directory e la tua rete ospiti utilizzi un captive portal o un flusso di accesso tramite social network completamente separato dallo stack RADIUS. A questo proposito - RADIUS e il WiFi per gli ospiti vengono spesso confusi, ma servono a scopi diversi. RADIUS è il tuo livello di autenticazione e autorizzazione per utenti e dispositivi noti. Il WiFi per gli ospiti utilizza tipicamente un flusso con captive portal, che è un meccanismo completamente diverso. La piattaforma di Purple, ad esempio, gestisce l'autenticazione degli ospiti attraverso un livello di identità separato, acquisendo dati di prima parte e consentendo l'automazione del marketing, mentre RADIUS gestisce il controllo degli accessi alla rete aziendale e del personale. Si tratta di sistemi complementari, non concorrenti. Ora, parliamo di cosa significhi concretamente "ospitato in cloud". Un servizio Cloud RADIUS strutturato in modo corretto opera su più zone di disponibilità, con failover automatico. Le richieste di autenticazione vengono bilanciate in base al carico tra i nodi e il servizio mantiene tempi di risposta inferiori a 100 millisecondi anche in condizioni di picco. Per uno stadio che gestisce 40.000 connessioni simultanee durante un evento, questo profilo di latenza e throughput è fondamentale. Un singolo server on-premises semplicemente non può competere con una simile elasticità. Dal punto di vista della conformità, i provider Cloud RADIUS che operano nel Regno Unito e nell'UE devono essere conformi al GDPR per quanto riguarda la gestione dei log di autenticazione e dei dati degli utenti. Per i settori retail e hospitality che elaborano anche i dati delle carte di pagamento, i requisiti PCI-DSS relativi alla segmentazione della rete e al controllo degli accessi sono direttamente rilevanti - RADIUS fa parte del vostro ambiente di controllo e il vostro QSA vorrà verificare le prove di una corretta configurazione e della registrazione dei log di audit. Merita un approfondimento anche il WPA3. Il passaggio da WPA2 a WPA3 introduce la Simultaneous Authentication of Equals - SAE - per le reti personali, e WPA3-Enterprise per gli ambienti aziendali. Il WPA3-Enterprise impone una modalità di sicurezza a 192 bit per la classificazione più elevata, il che richiede specifici metodi EAP e suite di cifratura. Un servizio Cloud RADIUS deve supportare queste configurazioni per essere a prova di futuro. Raccomandazioni di implementazione e trappole da evitare. Bene, passiamo alla pratica. Se state valutando il Cloud RADIUS per una distribuzione in questo trimestre, ecco su cosa vi consiglio di concentrarvi. In primo luogo, l'integrazione con il vostro identity provider. Il vostro servizio Cloud RADIUS deve sincronizzarsi con la piattaforma in cui risiedono effettivamente i vostri utenti - che si tratti di Microsoft Entra ID (in precedenza Azure AD), Google Workspace, Okta o un Active Directory on-premises tramite proxy LDAP. La qualità di questa integrazione determina il vostro sovraccarico operativo. Il provisioning nativo SAML o SCIM è di gran lunga preferibile all'importazione manuale di file CSV. In secondo luogo, la gestione dei certificati. Se state implementando EAP-TLS, avete bisogno di una risposta chiara su come i certificati client vengono emessi, rinnovati e revocati. I migliori servizi Cloud RADIUS includono una PKI integrata o si integrano perfettamente con la vostra autorità di certificazione esistente. La scadenza dei certificati è una delle cause più comuni di errore di autenticazione nel WiFi aziendale - ed è del tutto evitabile con una corretta automazione. In terzo luogo, la compatibilità dei dispositivi di rete. I vostri access point devono supportare l'autenticazione RADIUS - praticamente tutti gli AP di livello enterprise lo fanno - ma dovete verificare i metodi EAP specifici e gli attributi RADIUS supportati dal servizio scelto rispetto all'implementazione del vostro fornitore di AP. Cisco, Aruba, Juniper Mist e Ruckus presentano tutti sfumature specifiche nel modo in cui gestiscono gli attributi RADIUS e i messaggi CoA - Change of Authorisation. Quarto, la configurazione della ridondanza. Configura sempre sia un IP del server RADIUS primario che uno secondario. Il timeout di failover sui tuoi dispositivi NAS è importante: se è impostato su un valore troppo alto, gli utenti subiranno un ritardo di autenticazione di 30 secondi quando il primario non è raggiungibile. Un timeout di 3-5 secondi con failover immediato è la configurazione corretta per la maggior parte degli ambienti. Quinto - e questo è l'elemento che spesso viene trascurato - l'accounting. I record di accounting RADIUS costituiscono il tuo audit trail. Ti dicono chi si è connesso, da quale dispositivo, a che ora e per quanto tempo. Ai fini della conformità, in particolare negli ambienti sanitari e del settore pubblico, questi record devono essere conservati e accessibili. Assicurati che il tuo provider Cloud RADIUS ti offra l'accesso ai dati di accounting, non solo ai log di autenticazione. Errori comuni: la complessità del shared secret. Il tuo shared secret RADIUS - la chiave precondivisa tra il tuo NAS e il server RADIUS - deve essere lungo e casuale. I shared secret brevi o facilmente indovinabili rappresentano un reale vettore di attacco. Utilizza almeno 32 caratteri, generati casualmente, e ruotali periodicamente. Fai attenzione anche al whitelisting degli IP. Molti servizi Cloud RADIUS richiedono di inserire in whitelist gli IP sorgente dei tuoi dispositivi NAS. In un ambiente cloud dinamico in cui la tua piattaforma di gestione degli AP potrebbe utilizzare il NAT, questo può causare errori di autenticazione imprevisti. Verifica il comportamento del NAT della tua rete prima del deployment. Domande e Risposte Rapide. Lasciami passare in rassegna alcune domande che mi vengono rivolte regolarmente. Il Cloud RADIUS può supportare ambienti multi-tenant? Sì - la maggior parte dei servizi Cloud RADIUS aziendali supporta l'isolamento dei tenant, consentendo a un fornitore di servizi gestiti di eseguire policy RADIUS separate per più clienti da un'unica piattaforma. Qual è la latenza tipica per un'autenticazione Cloud RADIUS? Meno di 100 millisecondi per un servizio ben progettato. L'handshake 802.1X stesso aggiunge un po' di sovraccarico, ma per la maggior parte dei metodi EAP, il tempo totale di autenticazione dovrebbe essere inferiore a 500 millisecondi end-to-end. Il Cloud RADIUS funziona con OpenRoaming? Sì. OpenRoaming - il framework di roaming della Wireless Broadband Alliance - utilizza la federazione RADIUS come elemento centrale. Un servizio Cloud RADIUS che supporta Hotspot 2.0 e OpenRoaming consente ai tuoi utenti di autenticarsi automaticamente in tutte le reti partecipanti a livello globale. Purple supporta OpenRoaming con la sua licenza Connect, agendo come identity provider nella federazione. Il Cloud RADIUS è adatto per ambienti ad alta sicurezza? Per la maggior parte degli ambienti aziendali, sì. Per gli ambienti con dati classificati o specifiche classificazioni di sicurezza governative, potrebbe essere necessario valutare se un servizio cloud gestito soddisfa i requisiti di accreditamento specifici. Sintesi e Prossimi Passi. In sintesi: il Cloud RADIUS rappresenta un approccio maturo e pronto per la produzione al controllo degli accessi di rete, che elimina l'onere operativo dell'infrastruttura RADIUS on-premise senza scendere a compromessi in termini di sicurezza o funzionalità. Per le organizzazioni multi-sede, il calcolo del ROI è immediato - consente di eliminare le spese in conto capitale per l'hardware (capex), ridurre i costi operativi IT, ottenere una ridondanza integrata e usufruire di un servizio che si adegua alla crescita della propria infrastruttura. Le decisioni chiave riguardano: quale metodo EAP sia più adatto alla flotta di dispositivi, come integrarlo con l'identity provider esistente e se il servizio scelto offra le funzionalità di conformità e auditing richieste dall'organizzazione. Se gestite un gruppo alberghiero, una catena di negozi o reti del settore pubblico, vi consigliamo di iniziare con un proof-of-concept su un singolo sito - ottimizzate la configurazione RADIUS, convalidate l'integrazione con l'identity provider e misurate la latenza di autenticazione prima di procedere alla distribuzione sull'intera infrastruttura. Per saperne di più su WiFi analytics, gestione delle reti guest e su come la piattaforma di Purple si integra con l'autenticazione basata su RADIUS, visitate purple.ai. Grazie per l'ascolto.

header_image.png

Executive Summary

Per le moderne reti aziendali, l'architettura RADIUS (Remote Authentication Dial-In User Service) tradizionale on-premises costituisce un collo di bottiglia operativo significativo. La gestione dei server fisici, l'applicazione di patch ai sistemi operativi, la gestione delle autorità di certificazione e la progettazione della ridondanza multi-sito consumano preziose risorse IT. Il Cloud RADIUS (o RADIUS-as-a-Service) risolve questo problema migrando il livello di autenticazione IEEE 802.1X su un'infrastruttura cloud gestita e ad alta disponibilità. Questa guida fornisce una panoramica tecnica completa del Cloud RADIUS per IT manager, architetti di rete e CTO che valutano le strategie di implementazione. Passando da sistemi a intenso capitale (capex) e manutenuti manualmente a un modello elastico e distribuito a livello globale, le organizzazioni nei settori retail , hospitality e transport possono applicare solide policy di accesso, garantire la conformità (come PCI-DSS e GDPR) e integrarsi perfettamente con i moderni provider di identità come Microsoft Entra ID e Google Workspace.

Approfondimento Tecnico

L'Evoluzione dell'Architettura RADIUS

Il protocollo RADIUS, originariamente definito nella specifica RFC 2865, opera su un modello client-server in cui un Network Access Server (NAS) - come un punto di accesso WiFi o un concentratore VPN - inoltra le richieste di autenticazione a un server centrale. Storicamente, ciò significava distribuire FreeRADIUS o Microsoft Network Policy Server (NPS) su hardware dedicato. Sebbene questo approccio sia fattibile per distribuzioni su un singolo sito, la scalabilità di questa architettura in ambienti distribuiti introduce sfide significative in termini di latenza e ridondanza.

Il Cloud RADIUS astrae l'infrastruttura sottostante. Le richieste di autenticazione vengono instradate verso endpoint cloud distribuiti a livello globale, garantendo tempi di risposta inferiori a 100 millisecondi anche in condizioni di picco di carico. Questa elasticità è fondamentale per ambienti ad alta densità come stadi o centri congressi.

architecture_overview.png

Metodi EAP e Postura di Sicurezza

La scelta del metodo Extensible Authentication Protocol (EAP) determina fondamentalmente la vostra postura di sicurezza:

  • PEAP (Protected EAP): Stabilisce un tunnel MSCHAPv2 all'interno di una sessione TLS. Sebbene il PEAP sia ampiamente supportato e facile da integrare con Active Directory, è vulnerabile al furto di credenziali tramite punti di accesso non autorizzati se i dispositivi client non sono rigorosamente configurati per convalidare il certificato del server.
  • EAP-TLS: Lo standard di riferimento per le aziende. Richiede un'autenticazione reciproca dei certificati - sia il server che il client devono presentare certificati validi. Questo elimina completamente gli attacchi basati su password, ma richiede una solida integrazione di Public Key Infrastructure (PKI) e Mobile Device Management (MDM) per la distribuzione dei certificati.
  • EAP-TTLS e EAP-FAST: Offrono alternative adatte a scenari che richiedono un'ampia compatibilità con i client (compresi i sistemi legacy o Linux), o dove sono necessarie le Protected Access Credentials (PAC) per bypassare le dipendenze di convalida dei certificati.

Integrazione WPA3 e OpenRoaming

Le distribuzioni moderne devono tenere conto di WPA3-Enterprise, che impone la modalità di sicurezza a 192 bit per il massimo livello di sicurezza, richiedendo suite di cifratura specifiche. Inoltre, il Cloud RADIUS facilita la partecipazione a framework di federazione come OpenRoaming. Ad esempio, Purple agisce come provider di identità gratuito per OpenRoaming con la sua licenza Connect, consentendo un'autenticazione fluida e sicura in tutte le reti partecipanti a livello globale.

Guida all'Implementazione

La distribuzione di Cloud RADIUS richiede un approccio sistematico per garantire l'assenza di tempi di inattività durante la transizione.

Step 1: Integrazione con l'Identity Provider (IdP)

La tua istanza Cloud RADIUS deve sincronizzarsi con la tua directory utenti autorevole. Il provisioning nativo SAML o SCIM con Microsoft Entra ID, Google Workspace o Okta è preferibile ai proxy LDAP manuali o alle importazioni CSV. Questo garantisce che quando un dipendente viene disattivato nel sistema HR, il suo accesso alla rete venga revocato immediatamente.

Step 2: Strategia di Gestione dei Certificati

Se distribuisci EAP-TLS, definisci il ciclo di vita dei tuoi certificati. Scegli un provider Cloud RADIUS che includa una PKI integrata o che si integri perfettamente con la tua Certificate Authority (CA) esistente. Automatizza l'emissione e la revoca dei certificati tramite la tua piattaforma MDM (come Intune o Jamf) per prevenire errori di autenticazione causati da certificati scaduti.

Step 3: Configurazione dei Dispositivi di Rete

Configura i tuoi dispositivi NAS (access point, switch) in modo che puntino agli indirizzi IP primari e secondari del Cloud RADIUS. Assicurati che i segreti condivisi siano crittograficamente complessi (un minimo di 32 caratteri casuali). Regola le impostazioni di timeout del failover; un timeout da 3 a 5 secondi è ottimale, impedendo prolungati ritardi di autenticazione se il nodo primario diventa irraggiungibile.

Step 4: Definizione delle Policy

Stabilisci le policy per ciascun SSID. Ad esempio, imponi EAP-TLS per la rete aziendale, PEAP per i dispositivi IoT legacy e isola l'accesso degli ospiti. Nota che il RADIUS gestisce gli utenti noti; per i visitatori, distribuisci una soluzione di Guest WiFi dedicata con un Captive Portal per acquisire dati di prima parte, integrata con una piattaforma di WiFi Analytics . Per saperne di più sul coinvolgimento dei visitatori, consulta Come migliorare la soddisfazione degli ospiti: la guida definitiva .

comparison_chart.png

Best Practice

  • Forza la convalida rigorosa del certificato del server: Per le distribuzioni PEAP, distribuisci criteri di gruppo o profili MDM che costringano i client a convalidare il certificato del server RADIUS e a limitare la attendibilità a una specifica CA radice.
  • Segmenta il traffico di accounting e autenticazione: Assicurati che i dati di accounting RADIUS siano monitorati e conservati attivamente. Questa traccia di audit è essenziale per la reportistica di conformità (come PCI-DSS e HIPAA).
  • Monitora la latenza di autenticazione: Una latenza elevata indica spesso un routing non ottimale o problemi di sincronizzazione dell'IdP. Utilizza strumenti di monitoraggio per tracciare il tempo impiegato dal pacchetto Access-Request al pacchetto Access-Accept.
  • Ottimizza la pianificazione del segnale e dei canali: Un'autenticazione affidabile dipende da un livello fisico stabile. Consulta guide come Capire l'RSSI e la potenza del segnale per una pianificazione ottimale dei canali per garantire che il tuo ambiente RF supporti il roaming 802.1X senza interruzioni.

Risoluzione dei problemi e mitigazione dei rischi

Anche con un servizio gestito, una configurazione errata può causare errori di accesso. I problemi più comuni includono:

  • Scadenza del certificato: La causa principale dei fallimenti EAP-TLS. Mitigazione: Implementa avvisi automatici 30 giorni prima della scadenza dei certificati della CA o del server.
  • Mancata corrispondenza del segreto condiviso: Si verifica in genere quando si aggiungono nuovi punti di accesso. Mitigazione: Standardizza i modelli di configurazione nel tuo sistema di gestione della rete.
  • Problemi di NAT e white list IP: I provider Cloud RADIUS richiedono in genere l'inserimento dell'IP NAS in una white list. Se le tue sedi periferiche utilizzano IP dinamici o configurazioni NAT complesse, le richieste di autenticazione potrebbero essere rifiutate. Mitigazione: Utilizza IP di uscita statici o distribuisci un proxy RADIUS locale dove necessario.
  • Errori di sincronizzazione dell'IdP: Se la directory cloud non riesce a sincronizzarsi con l'AD locale, i nuovi utenti non saranno in grado di autenticarsi. Mitigazione: Monitora in modo proattivo lo stato del connettore SCIM/LDAP.

ROI e impatto aziendale

Il passaggio a Cloud RADIUS offre un valore aziendale misurabile:

  1. Riduzione delle spese in conto capitale per l'infrastruttura (Capex): Non è necessario acquistare, montare a rack e alimentare server RADIUS fisici in ogni sede principale.
  2. Minori costi operativi: I team IT non passano più ore a correggere le vulnerabilità del sistema operativo o a gestire manualmente il failover del server. Gli aggiornamenti gestiti dal fornitore garantiscono una conformità continua.
  3. Miglioramento del livello di sicurezza: Il passaggio a EAP-TLS tramite una PKI cloud riduce il rischio di furto di credenziali, abbassando direttamente il costo potenziale di una violazione dei dati.
  4. Agilità e scalabilità: Quando si apre una nuova filiale retail o un hotel, l'autenticazione di rete può essere configurata in pochi minuti anziché in settimane. Per strategie pratiche di implementazione, consulta Setting Up WiFi for Business: A 2026 Playbook .

Grazie al controllo degli accessi centralizzato, le organizzazioni non solo proteggono il proprio perimetro, ma liberano anche i talenti ingegneristici senior per concentrarsi su progetti strategici ad alto impatto anziché sulla manutenzione di infrastrutture legacy obsolete.

Definizioni chiave

Cloud RADIUS

Un servizio gestito che ospita il protocollo Remote Authentication Dial-In User Service in un ambiente cloud ad alta disponibilità, eliminando la necessità di server di autenticazione on-premises.

Valutato dai team IT che cercano di ridurre le spese in conto capitale per l'hardware e i costi operativi, mantenendo un accesso sicuro alla rete 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un metodo di autenticazione altamente sicuro che richiede sia al client che al server di presentare certificati digitali per dimostrare la propria identità.

Lo standard consigliato per le reti aziendali per prevenire gli attacchi basati su password, che richiede PKI e MDM per la distribuzione.

NAS (Network Access Server)

Il dispositivo - come un access point WiFi, uno switch o un concentratore VPN - che funge da client RADIUS, inoltrando le credenziali dell'utente al server RADIUS.

Gli ingegneri di rete devono configurare il NAS con gli IP corretti del server RADIUS e i segreti condivisi per abilitare l'autenticazione 802.1X.

Shared Secret

Una stringa di testo crittografica nota solo al NAS e al server RADIUS, utilizzata per cifrare i pacchetti RADIUS e verificare l'autenticità del mittente.

Un segreto condiviso debole rappresenta una grave vulnerabilità di sicurezza; le distribuzioni aziendali dovrebbero utilizzare stringhe lunghe generate in modo casuale.

SCIM (System for Cross-domain Identity Management)

Uno standard aperto che automatizza lo scambio di informazioni sull'identità degli utenti tra sistemi IT o applicazioni cloud.

Utilizzato per effettuare automaticamente il provisioning e il de-provisioning degli utenti nella directory Cloud RADIUS quando vengono apportate modifiche nel sistema di identità primario HR o IT.

OpenRoaming

Un framework di federazione sviluppato dalla Wireless Broadband Alliance che consente agli utenti di connettersi in modo automatico e sicuro alle reti WiFi partecipanti a livello globale.

I provider Cloud RADIUS che supportano OpenRoaming (come Purple) consentono alle sedi di offrire una connettività sicura e fluida ai visitatori senza Captive Portal.

Accounting Logs

Record generati dal server RADIUS che descrivono in dettaglio gli eventi di connessione dell'utente, inclusi ora di inizio, ora di fine, dati trasferiti e indirizzo IP assegnato.

Fondamentali per gli audit di sicurezza, la risoluzione dei problemi e per dimostrare la conformità con framework come PCI-DSS e GDPR.

Change of Authorization (CoA)

Una funzionalità RADIUS che consente al server di modificare dinamicamente la sessione attiva di un utente, come la modifica della VLAN o la disconnessione, senza richiedere una riconnessione.

Utilizzato dagli amministratori di rete per mettere istantaneamente in quarantena un dispositivo compromesso o applicare nuove restrizioni di policy a metà sessione.

Esempi pratici

Un hotel da 200 camere utilizza attualmente Microsoft NPS on-premises per l'autenticazione del WiFi del personale tramite PEAP. Si verificano timeout di autenticazione durante le ore di punta del check-in e desiderano migrare a Cloud RADIUS con EAP-TLS per una migliore sicurezza e affidabilità. In che modo il Direttore IT dovrebbe strutturare questa migrazione?

  1. Distribuire un tenant Cloud RADIUS e integrarlo con il Microsoft Entra ID dell'hotel tramite SCIM per la gestione automatizzata del ciclo di vita degli utenti. 2. Configurare la PKI integrata di Cloud RADIUS per emettere certificati client. 3. Utilizzare l'MDM esistente (ad es. Intune) per distribuire la Root CA, i certificati client e un nuovo profilo WiFi configurato per EAP-TLS su tutti i dispositivi del personale. 4. Configurare gli access point dell'hotel in modo che puntino agli IP primari e secondari di Cloud RADIUS, utilizzando un nuovo segreto condiviso complesso di 32 caratteri. 5. Eseguire sia il vecchio NPS che il nuovo Cloud RADIUS in parallelo su diversi SSID per un periodo di transizione di due settimane prima di dismettere i server on-premise.
Commento dell'esaminatore: Questo approccio riduce al minimo i rischi eseguendo SSID paralleli durante la transizione. Il passaggio a EAP-TLS elimina i rischi di raccolta delle credenziali associati a PEAP, e l'utilizzo dell'MDM per la distribuzione dei certificati garantisce zero attriti per gli utenti finali. L'integrazione SCIM garantisce che, quando il personale lascia l'azienda, il loro accesso venga immediatamente revocato.

Una catena di vendita al dettaglio nazionale con 500 sedi deve garantire la conformità PCI-DSS per i suoi terminali point-of-sale (POS), che si connettono tramite WiFi. Stanno passando a Cloud RADIUS. Quali configurazioni specifiche sono necessarie per soddisfare la conformità?

  1. Implementare una rigida segmentazione di rete: i terminali POS devono autenticarsi su un SSID dedicato e nascosto, mappato su una VLAN isolata. 2. Imporre l'autenticazione EAP-TLS per tutti i dispositivi POS per garantire l'autenticazione reciproca e impedire a dispositivi non autorizzati di accedere alla rete POS. 3. Configurare il servizio Cloud RADIUS per conservare tutti i log di accounting (Access-Accept, Access-Reject, durata della connessione) per un minimo di un anno, come richiesto da PCI-DSS. 4. Assicurarsi che i segreti condivisi RADIUS tra gli AP delle filiali e il servizio Cloud RADIUS vengano ruotati ogni 90 giorni utilizzando uno script automatizzato.
Commento dell'esaminatore: Questa soluzione affronta direttamente i requisiti PCI-DSS per la segmentazione logica, il controllo degli accessi forte e la verificabilità. Affidarsi al filtraggio degli indirizzi MAC non è sufficiente per la conformità; EAP-TLS fornisce la prova crittografica necessaria dell'identità del dispositivo. La conservazione dei log di accounting nel cloud semplifica il processo di audit per il QSA.

Domande di esercitazione

Q1. La tua organizzazione sta migrando da un Active Directory on-premises a Google Workspace. Attualmente utilizzi PEAP-MSCHAPv2 per l'autenticazione WiFi. Perché questo rappresenta un problema e qual è la soluzione consigliata?

Suggerimento: Considera come il protocollo PEAP convalida le credenziali rispetto al protocollo della directory.

Visualizza risposta modello

PEAP-MSCHAPv2 si basa sull'hash NT della password di un utente, che Google Workspace non memorizza né espone nativamente. La soluzione consigliata è migrare a EAP-TLS utilizzando un provider Cloud RADIUS che dispone di una PKI integrata. Il servizio Cloud RADIUS può sincronizzare le identità degli utenti da Google Workspace tramite SAML/SCIM e autenticare i dispositivi utilizzando certificati client anziché password.

Q2. Una filiale segnala che gli utenti riscontrano ritardi di 30 secondi durante la connessione alla rete WiFi, seguiti da una connessione riuscita. L'IP primario di Cloud RADIUS in quella regione è attualmente in fase di manutenzione. Quale errore di configurazione sta causando questo ritardo?

Suggerimento: Esamina la comunicazione tra il NAS e i server RADIUS.

Visualizza risposta modello

Il NAS (Access Point o Switch) ha il timeout del server RADIUS configurato su un valore troppo alto (ad esempio, 30 secondi). Sta attendendo la risposta del server primario prima di passare al server secondario. Il timeout dovrebbe essere ridotto a 3-5 secondi per garantire un failover rapido senza influire sull'esperienza dell'utente.

Q3. Stai implementando Cloud RADIUS per un ospedale. Il team di sicurezza impone che solo i dispositivi di proprietà aziendale possano connettersi alla rete interna, anche se un dipendente conosce un nome utente e una password validi. Come applichi questa regola?

Suggerimento: Quale metodo EAP verifica l'identità del dispositivo, e non solo la conoscenza dell'utente?

Visualizza risposta modello

Distribuisci EAP-TLS. Configura la soluzione MDM dell'ospedale per inviare un certificato client univoco solo ai dispositivi registrati di proprietà aziendale. Configura la policy di Cloud RADIUS per rifiutare qualsiasi richiesta di autenticazione che non presenti un certificato valido firmato dalla PKI interna attendibile, bloccando di fatto i dispositivi BYOD o non autorizzati indipendentemente dalla conoscenza della password.

Continua a leggere questa serie

I vantaggi in termini di sicurezza di RADIUS as a Service per la forza lavoro ibrida

Questa guida di riferimento tecnico spiega come RADIUS as a Service protegga l'accesso alla rete per la forza lavoro ibrida all'interno di sedi distribuite. Copre l'architettura, i vantaggi in termini di sicurezza e i passaggi di implementazione per sostituire l'infrastruttura RADIUS on-premise con un servizio di autenticazione gestito in cloud. Per i responsabili IT e gli architetti di rete di hotel, catene di vendita al dettaglio, stadi e organizzazioni del settore pubblico, questa guida fornisce gli elementi necessari per valutare e avviare la migrazione a un servizio RADIUS cloud in questo trimestre.

Leggi la guida →

Integrazione di RADIUS as a Service con directory cloud (Azure AD e Google Workspace)

Questa guida tecnica di riferimento descrive in dettaglio come integrare RADIUS as a Service con le directory cloud - Microsoft Entra ID e Google Workspace - per l'autenticazione WiFi aziendale. Copre il passaggio architetturale da NPS on-premise a RADIUS cloud-native, l'implementazione dell'autenticazione EAP-TLS basata su certificati e le migliori pratiche operative per proteggere l'accesso wireless negli ambienti dell'ospitalità, della vendita al dettaglio e del settore pubblico. Per i responsabili IT e gli architetti di rete che hanno già investito nell'identità cloud, questa guida colma il divario tra la gestione delle directory e la sicurezza della rete fisica.

Leggi la guida →

Come implementare l'autenticazione 802.1X con Cloud RADIUS

Questa guida di riferimento tecnico fornisce un framework completo per l'implementazione dell'autenticazione 802.1X con Cloud RADIUS in infrastrutture aziendali distribuite. Descrive in dettaglio l'architettura, la selezione del metodo EAP, la sequenza di implementazione e le strategie di mitigazione del rischio necessarie per proteggere l'accesso alla rete eliminando al contempo i costi operativi dell'infrastruttura on-premises.

Leggi la guida →